浅谈《互联网新闻信息服务新技术新应用安全评估实施规范》

全国信息安全标准化技术委员会（TC260）2018年第一次工作组会议周于4月18日在武汉正式落下帷幕。本次会议周通过“国际网络安全标准化论坛”的形式，邀请了国家部委、举办地相关领导及国内外专家对当前国内与国际信息安全标准体系的建设与发展做了全面的刨析。重点针对密码技术、鉴别技术、安全评估、安全管理、数据安全等方面近120个标准的立项、推进等工作情况，分为WG3、WG4、WG5、WG6、WG7、SWG-BDS等6个讨论组，进行了汇报、答辩与激烈讨论。

在WG5组有一项标准小编认为较为新颖和独特，即由工信部信通院主导的《信息安全技术 互联网新闻信息服务新技术新应用安全评估实施规范》（以下简称“双新评估规范”）。下面是小编参与这次双新规范的研讨后的一些体会，这里与大家一起分享，如您对规范细节感兴趣，欢迎留言交流。

01

规范立项的目的

WG5组所涉及的大部分标准都是以产品或服务的安全性评估与测试目的为主，而双新评估规范主要是为了在互联网新技术新应用蓬勃发展的今天，做好新业务新应用的特别是新闻、论坛、即时聊天工具等网站与应用的违法、有害信息交互与传播的控制，阻止不法分子或组织通过互联网舆论恶意推波助澜，造成对国家安全、社会稳定、人民财产与权益的破坏为目的。

02

规范研究的背景

双新评估规范的研制是在《中华人民共和国网络安全法》第53条、《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》、中央改革办工作要点任务书“推动建立互联网新技术新应用的研究和安全评估机制。”的相关要求下完成。其紧迫性不言而喻。

另外，在网信办网络数据与技术局被赋予“指导推进互联网新技术新应用的研究和安全评估”的职能后，以及具有互联网信息服务管理职能的相关司局也相继出台明示政策性管理文件要求，急需安全评估发挥问题锁定、监督落地的支撑作用的要求下。双新评估规范研制弥补了在相关领域标准缺失，充分说明了该规范研制的必要性。

03

规范应用的目标

双新评估规范研制的主要目标是统筹规划互联网新闻信息服务新技术新应用安全评估标准体系，架构及内容。体系化考虑安全评估组织实施过程，安全目标风险识别，技术要求以及落地实操要点等内容。

明确评估对象、评估思路、评估流程、评估定级、风险识别指标休系以及安全技术要求等内容，包含指导、普通、严格三个评估级、涵盖管理类、技术类共计12类评估技术要求。

04

规范研制的思路

1）借鉴参考，以TCSEC\ITSEC\CC\SSE-CMM\BS7799国际标准为指导框架。

2）重视针对性、典型性、落地性，以监测发现、定位处置、追踪溯源应急管控等为核心安全目标。

3）注重前瞻性，梳理目前主流安全框架与风险评估方法，结合项目目标提炼的一套具有前瞻性规范。

05

规范主要的内容

双新评估规范的研制主要分为必要要素、规范要素、评估模型、评估结论四阶段15个模块来进行研究，就评估体系来看内容相对完整。

规范内容架构图

06

规范评估的对象

双新评估规范主要评价的对象是互联网站、应用程序、论坛博客、微博、搜索引擎、即时通信工具、新闻舆论应用、社会动员功能应用等消息传递媒体。

这些对象有三个重要的特征：

1）具有媒体属性，即可作为消息快速传播的途径；

2）具有舆论动员能力，即在社会中相当数量的人对于一个特定话题所表达的个人观点、态度和信念的集合体，并影响该话题发展；

3）具有社会动员能力，即能造成广义的社会影响。

综上所述，小编认为双新评估规范的研制，是网信办进行“全国互联网信息内容管理工作，并负责监督管理执法”统筹协调落地工作的政策性管理文件要求。对加强我国网络空间治理与互联网内容安全管理，营造风清气正网络环境和良好网上舆论氛围发挥作用。